• No se han encontrado resultados

Plan de implementación del SGSI basado en la Norma ISO 27001 para la Empresa Ticsocial S A S

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Plan de implementación del SGSI basado en la Norma ISO 27001 para la Empresa Ticsocial S A S"

Copied!
26
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 26 página )

Texto completo

(1)TICSOCIAL S.A.S. DECLARACIÓN DE APLICABILIDAD. Versión:. 003. Fecha de versión:. 10 de enero de 2019. Creado por:. Diana Rodríguez. Aprobado por: Nivel de confidencialidad:. El historial de cambios Fecha. Versión. Creado por. Descripción del cambio. 2018-12-17. 0.1. Diana Rodríguez. Esquema básico del documento.. 2019-01-07. 0.2. Diana Rodríguez. Modificación controles y riesgos residuales.. 2019-01-10. 0.3. Diana Rodríguez. Modificación controles y riesgos residuales.. 84.

(2) TICSOCIAL S.A.S. Tabla de contenido 1.. PROPÓSITO, ALCANCE Y USUARIOS. ...................................................................................................... 86. 2.. DOCUMENTOS DE REFERENCIA .............................................................................................................. 86. 3.. APLICABILIDAD DE LOS CONTROLES ....................................................................................................... 86. 4.. ACEPTACIÓN DE RIESGOS RESIDUALES. ............................................................................................... 100. 5.. VALIDEZ Y GESTIÓN DOCUMENTAL. ..................................................................................................... 101. 85.

(3) TICSOCIAL S.A.S. 1. Propósito, alcance y usuarios. El propósito de este documento es definir cuáles son los controles apropiados para ser implementados en TICSOCIAL S.A.S, los objetivos de dichos controles y como sería su implementación al momento de enfrentar las amenazas y riesgos. Se abordarán todos los controles enumerados en el Anexo A de la norma ISO/IEC 27001:2013, estos controles se aplican a todo ámbito del SGSI. Los usuarios involucrados en este seguimiento son Diana Rodríguez a cargo de la construcción del alcance y Robinson Salazar quien supervisara que lo indicado tenga la finalidad adecuada y sea posible.. 2. Documentos de referencia • • • •. Norma ISO / IEC 27001, cláusula 6.1.3 d) Política de seguridad de la información Evaluación de riesgos y metodología de tratamiento de riesgos. Evaluación de riesgos e informe de tratamiento de riesgos. 3. Aplicabilidad de los controles Son aplicables los siguientes controles del Anexo A de ISO 27001:. ID. A.5. A.5.1. A.5.1.1. A.5.1.2. A.6. A.6.1. Controles según ISO/IEC 27001. Políticas de seguridad de la información Directrices de gestión de la seguridad de la información Políticas para la seguridad de la información Revisión de las políticas para la seguridad de la información Organización de la seguridad de la información Organización interna. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. NO. NO. 86. Objetivos del control. Método de implementación. Estado.

(4) TICSOCIAL S.A.S. ID. A.6.1.1. A.6.1.2 A.6.1.3. A.6.1.4. A.6.1.5. A.6.2. A.6.2.1. A.6.2.2. A.7. A.7.1 A.7.1.1. A.7.1.2. Controles según ISO/IEC 27001. Roles y responsabilidad es en seguridad de la información. Segregación de tareas Contacto con las autoridades Contactos con grupos de interés especial Seguridad de la información en la gestión de proyectos Los dispositivos móviles y el teletrabajo Política de dispositivos móviles Teletrabajo Seguridad relativa a los recursos humanos Seguridad de recursos humanos Proyección. Términos y condiciones de empleo. Aplicab ilidad (SI/NO). SI. Justificación de aplicabilidad del control. No existe una definición de roles y/o responsabilidades frente a la seguridad de la información (S.I.). Método de implementación. Estado. Creación de roles y responsabilidades.. Dichos roles y responsabilidades se irán nombrando y delegando en la construcción del plan de implementación. Inexiste nte. Especificar que las funcionalidades de cada cargo. Contratación definida y clara. Definid o. Objetivos del control. NO NO. NO. NO. NO. NO. NO. SI. Dejar claridad de las responsabilidades, términos y condiciones de cada uno de los cargos.. 87.

(5) TICSOCIAL S.A.S. ID. Controles según ISO/IEC 27001. A.7.2. Durante el empleo. A.7.2.1. A.7.2.2. A.7.2.3. A.7.3. A.7.3.1. A.8 A.8.1 A.8.1.1 A.8.1.2 A.8.1.3 A.8.1.4 A.8.2. Responsabilidad es de gestión. Sensibilización sobre la seguridad de la información, educación y capacitación Proceso disciplinario Terminación y cambio de empleo. Terminación o cambio de responsabilidad es laborales. Gestión de activos Responsabilidad de los activos Inventario de activos Propiedad de los activos Uso aceptable de los activos Retorno de activos Clasificación de la información. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. Objetivos del control. SI. Cada empleado debe aplicar la S.I. siguiendo las políticas establecidas. Garantizar que toda la información tenga la seguridad adecuada para el tratamiento de la misma según sea el caso de cada empleado. Participación y compromiso de todos los empleados de la organización. Inexiste nte. SI. No existe claridad sobre cómo y porque aplicar la S.I. pertinentes a las labores de cada empleado. Concientización sobre la S.I.. Socialización de políticas y formación para la aplicación en cada uno de los cargos. Inexiste nte. Continuidad y confidencialidad en el proceso de la S.I. de acuerdo al cargo y no al empleado. Incluir en los acuerdos contractuales dichas responsabilidad y explicación sobre las políticas y la forma de implementación. Inexiste nte. Método de implementación. Estado. NO. SI. Cambios de personal en los diferentes cargos que hay en la organización. NO NO NO NO. 88.

(6) TICSOCIAL S.A.S. ID. A.8.2.1 A.8.2.2 A.8.2.3 A.8.3. A.8.3.1. A.8.3.2. A.8.3.3. A.9. A.9.1. A.9.1.1. A.9.1.2. A.9.2. A.9.2.1. A.9.2.2. Controles según ISO/IEC 27001. Clasificación de la información Etiquetado de la información Manejo de activos Manejo de medios Gestión de medios extraíbles Eliminación de medios Transferencia de medios físicos. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. Objetivos del control. Método de implementación. Estado. Si la salida de equipos institucionales es necesaria. Tener control sobre los equipos que salen y las medidas de seguridad adecuadas. Registro de los equipos que salen y entran de las instalaciones. Inexiste nte. Limitar el acceso a la información manejada de acuerdo a la competencia de cada empleado y/o cargo. Documentar y revisar una política de control de acceso, de acuerdo a los requisitos del negocio y la S.I.. Establecer los accesos especialmente lógicos mediante privilegios.. Inexiste nte. Es necesario definir los privilegios de cada uno de los usuarios. Que no existan ambigua des o irregularidades en cuanto a los accesos que protegen la información. Capacitación y concientización de los accesos a los que cada empleado tiene derecho. Inexiste nte. NO NO NO. NO. NO. NO. Control de acceso Requisitos de negocio de control de acceso.. Política de control de acceso. Acceso a redes y servicios de red Gestión de acceso de usuarios Registro de usuario y anulación de registro. Aprovisionamie nto de acceso de usuario. SI. NO. NO. SI. 89.

(7) TICSOCIAL S.A.S. ID. Controles según ISO/IEC 27001. Aplicab ilidad (SI/NO). A.9.2.3. Gestión de derechos de acceso privilegiados. SI. A.9.2.4. Gestión de la información de autenticación secreta de los usuarios. NO. A.9.2.5. A.9.2.6. A.9.3. A.9.3.1. A.9.4. Revisión de los derechos de acceso de los usuarios. Eliminación o ajuste de derechos de acceso Responsabilidad es del usuario Uso de información de autenticación secreta Sistema y control de acceso a aplicaciones.. SI. Justificación de aplicabilidad del control. Objetivos del control. Método de implementación. Estado. Aclaración de los derechos de acceso a la información. Restringir y controlar los accesos a los empleados a los sistemas y servicios. Identificar para cada empleado a que información tiene acceso y si es necesario la duración de dicho acceso. Inexiste nte. No existe claridad en cuanto a los derechos de acceso. Comprobar que cada uno de los usuarios tenga los accesos que le competen de acuerdo a sus responsabilidades. Identificar para cada empleado a que información tiene acceso y si es necesario la duración de dicho acceso. Inexiste nte. Posible acceso a la información de personas no autorizadas. Restringir quienes pueden tener acceso a determinada información. Generación de derechos de acceso a los empleados de la organización. Inexiste nte. NO. NO. A.9.4.1. Restricción de acceso a la información. SI. A.9.4.2. Procedimientos de inicio de sesión seguros. NO. 90.

(8) TICSOCIAL S.A.S. ID. Controles según ISO/IEC 27001. Aplicab ilidad (SI/NO). A.9.4.3. Sistema de gestión de contraseñas. SI. A.9.4.4. Uso de programas de utilidad privilegiados. NO. A.9.4.5. Control de acceso al código fuente del programa. A.10. A.10.1. A.10.2 A.11 A.11.1 A.11.1.1 A.11.1.2. A.11.1.3. A.11.1.4. A.11.1.5 A.11.1.6 A.11.2. Criptografía Política sobre el uso de controles criptográficos Gestión de claves Seguridad física y ambiental. Perímetro de seguridad física Perímetro de seguridad física Controles de entrada físicos Asegurando oficinas, salas e instalaciones. Protección contra amenazas externas y ambientales Trabajando en áreas seguras Áreas de entrega y carga. Equipo. SI. Justificación de aplicabilidad del control. Posible acceso a la información de personas no autorizadas. Garantizar la seguridad del código fuente. NO. NO NO. NO. NO. NO NO. 91. Objetivos del control. Método de implementación. Estado. Gestionar la calidad en las contraseñas de acceso. Otorgar contraseñas seguras a los usuarios autorizados. Inexiste nte. Mantener el código fuente alojado en los repositorios adquiridos. Cuenta para ingreso al repositorio para cada uno de los empleados que lo necesiten. Admini strado.

(9) TICSOCIAL S.A.S. ID. A.11.2.1. A.11.2.2 A.11.2.3. Controles según ISO/IEC 27001. Emplazamiento y protección del equipo. Utilidades de apoyo Cableado de seguridad. Aplicab ilidad (SI/NO). A.11.2.5. Eliminación de activos. NO. A.11.2.7. A.11.2.8. A.11.2.9. A.12. A.12.1. A.12.1.1. A.12.1.2 A.12.1.3. Estado. NO. SI. Eliminación segura o reutilización de equipos Equipo de usuario desatendido Política de escritorio y pantalla clara Seguridad de operación Procedimientos operacionales y responsabilidad es. Procedimientos operativos documentados Gestión del cambio Gestión de capacidad. Método de implementación. NO. Mantenimiento de equipos. A.11.2.6. Objetivos del control. NO. A.11.2.4. Seguridad de equipos y activos fuera de las instalaciones. Justificación de aplicabilidad del control. SI. Realizar un mantenimiento continuo a los equipos para evitar posibles fallos y mantener. Programar mantenimientos continuos a los equipos. Mantener los equipos con actualizaciones al día y arreglo preventivo. Inexiste nte. Casos y ocasiones en las que se hace necesario que algunos empelados saquen equipos de las instalaciones. Llevar un control de que equipos salen de la oficina. Verificación de salida de equipos con autorización correspondiente. Inexiste nte. NO. NO. NO. NO. NO NO. 92.

(10) TICSOCIAL S.A.S. ID. A.12.1.4. A.12.2. Controles según ISO/IEC 27001. Separación de entornos de desarrollo, pruebas y operacionales Protecciones contra malware. A.12.2.1. Controles contra malware. A.12.3. Backup. A.12.3.1. A.12.4 A.12.4.1. A.12.4.2. A.12.4.3. A.12.4.4. A.12.5. A.12.5.1. A.12.6. Copia de seguridad de la información. Registro y seguimiento Registro de eventos Protección de la información de registro Registros de administrador y operador sincronización del reloj Control de software operativo. Instalación de software en sistemas operativos Gestión de vulnerabilidad técnica.. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. Objetivos del control. Método de implementación. Estado. NO. SI. SI. Prevención de ingreso de código malicioso. Poder garantizar copias de seguridad para solventar cualquier inconveniente que se pueda presentar. NO. NO. NO. NO. NO. 93. Controlar y/o eliminar el riesgo potencial para los sistemas y equipos. Mantener equipos actualizados de fuentes confiables y software licenciado. Inexiste nte. Tener respaldo de toda la información que maneja la organización. Establecer tiempos en los cuales se realizan las copias de seguridad. Admini strado.

(11) TICSOCIAL S.A.S. ID. A.12.6.1. A.12.6.2. A.12.7. A.12.7.1. A.13. A.13.1. A.13.1.1. A.13.1.2. A.13.1.3 A.13.2. Controles según ISO/IEC 27001. Gestión de vulnerabilidades técnicas. Restricciones en la instalación del software. Consideración de auditoría de sistemas de información. Controles de auditoría de los sistemas de información. Seguridad de las comunicaciones Gestión de seguridad de red. Controles de red. Seguridad de los servicios de red. Segregación en redes. Transferencia de información. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. Objetivos del control. Método de implementación. Estado. Si. Falta de monitoreo de los recursos que posee la organización. Tener control sobre las vulnerabilidades y poder mitigarlas para evitar caídas de los sistemas. Vigilancia permanente sobre los recursos. Inicial. No hay restricción en cuanto a instalación de ningún tipo de software en los equipos. Controlar las instalaciones de cualquier software mediante privilegios. Autorización a ciertos empelados para realizar instalaciones que sean necesarias para el correcto funcionamiento de las labores. Inexiste nte. SI. No se encuentra en este momento políticas para el control de la red de la organización. Crear políticas para la administración, acceso y monitorizaciones de la res. Implementar las políticas una vez creadas de manera paulatina dentro de la organización. Inicial. SI. Revisión de los niveles de seguridad par ingreso a la red. Aumentar y/o ajustar la seguridad en los servicios de la red tanto para empleados como para visitantes. SI. NO. NO. NO. 94. Inicial.

(12) TICSOCIAL S.A.S. ID. Controles según ISO/IEC 27001. Aplicab ilidad (SI/NO). A.13.2.1. Políticas y procedimientos de transferencia de información. SI. A.13.2.2. Acuerdos de transferencia de información. NO. A.13.2.3. A.13.2.4. A.14. A.14.1. A.14.1.1. A.14.1.2. A.14.1.3. Mensajería electrónica. Confidencialida d o acuerdos de no divulgación Adquisición, desarrollo y mantenimiento de sistemas. Requisitos de seguridad del sistema de información. Análisis y especificación de los requisitos de seguridad de la información Asegurando servicios de aplicaciones en redes públicas Protección de transacciones de servicios de aplicaciones. SI. Justificación de aplicabilidad del control. No existen una reglamentación clara para la transferencia de la información. Poder proteger la información que se envía por mensajería electrónica. Objetivos del control. Método de implementación. Estado. Contar con políticas y procedimientos para la protección de la transferencia de la información. Creación de políticas para los procedimientos en los cuales se realiza transferencia de información vital para la organización. Inexiste nte. Proteger los mensajes enviados con los empleados y los clientes. Controles criptográficos que garanticen la seguridad en la transmisión de la información. Inexiste nte. Identificar los requisitos para la S.I.. Creación de las políticas de la S.I. de acuerdo a los requerimientos de la organización y/o clientes (proyectos). Inexiste nte. NO. SI. No hay una definición claro de requisitos relacionados con la seguridad de la información. NO. NO. 95.

(13) TICSOCIAL S.A.S. ID. Controles según ISO/IEC 27001. A.14.2. Seguridad en procesos de desarrollo y soporte.. A.14.2.1. A.14.2.2. A.14.2.3. A.14.2.4. A.14.2.5. Política de desarrollo seguro Procedimientos de control de cambio de sistema Revisión técnica de aplicaciones después de cambios en la plataforma operativa Restricciones a los cambios en los paquetes de software Principios de ingeniería de sistemas seguros. Aplicab ilidad (SI/NO). SI. Justificación de aplicabilidad del control. Objetivos del control. Método de implementación. Estado. Inexistencia de política de desarrollo seguro. Poder proteger los desarrollos y cambios sobre el código fuente. Crear e implementar posibles controles para el código fuente. Inicial. Tener un control sobre los entornos de desarrollo de cada uno de los desarrolladores. Establecer políticas y normas para los entornos de desarrollo. Evaluar cada entorno de desarrollo y verificar que políticas se podrían implementar. Aplicar procedimientos para las pruebas y verificación de funcionamientos. Revisar existencia de acuerdos de licencias, propiedad de código y /o derechos de propiedad. Complementar los procedimientos para las pruebas de seguridad del sistema. NO. NO. NO. NO. A.14.2.6. Entorno de desarrollo seguro. SI. A.14.2.7. Desarrollo externalizado. NO. A.14.2.8. Pruebas de seguridad del sistema. SI. A.14.2.9. Pruebas de aceptación del sistema. NO. 96. Inexiste nte. Inicial.

(14) TICSOCIAL S.A.S. ID. A.14.3 A.14.3.1 A.15. A.15.1. A.15.1.1. A.15.1.2. A.15.1.3. A.15.2. A.15.2.1. A.15.2.2. A.16. Controles según ISO/IEC 27001. Datos de prueba Protección de datos de prueba Relaciones con proveedores Seguridad de la información en las relaciones con proveedores. Política de seguridad de la información para relaciones con proveedores Abordar la seguridad dentro de los acuerdos con proveedores Cadena de suministro de tecnologías de la información y la comunicación Proveedor de gestión de entrega de servicios. Seguimiento y revisión de los servicios del proveedor Gestión de cambios en los servicios del proveedor Gestión de incidentes de seguridad de la información.. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. Objetivos del control. Método de implementación. Estado. Dar a conocer a los proveedores los acuerdos de seguridad que se manejan en la organización. Socializar las políticas de seguridad. Definir de manera adecuada las políticas de seguridad. Inicial. NO NO. NO. SI. NO. NO. NO. 97.

(15) TICSOCIAL S.A.S. ID. A.16.1. A.16.1.1. A.16.1.2. A.16.1.3. A.16.1.4. A.16.1.5. A.16.1.6. A.16.1.7. A.17. A.17.1. A.17.1.1. Controles según ISO/IEC 27001. Gestión de incidentes de seguridad de la información y mejoras. Responsabilidad es y procedimientos Informe de eventos de seguridad de la información Informe de debilidades de seguridad de la información Evaluación y decisión sobre eventos de seguridad de la información Respuesta a incidentes de seguridad de la información Aprendiendo de incidentes de seguridad de la información Recolección de evidencia Aspectos de seguridad de la información en la gestión de la continuidad del negocio. Continuidad de la seguridad de la información. Planificación de la continuidad de la seguridad de la información. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. NO. NO. NO. NO. NO. NO. NO. NO. 98. Objetivos del control. Método de implementación. Estado.

(16) TICSOCIAL S.A.S. ID. A.17.1.2. A.17.1.3. A.17.2. A.17.2.1. A.18. A.18.1. A.18.1.1. A.18.1.2. A.18.1.3. A.18.1.4. A.18.1.5. A.18.2. Controles según ISO/IEC 27001. Implementando la continuidad de la seguridad de la información Verificar, revisar y evaluar la continuidad de la seguridad de la información Redundancias Disponibilidad de instalaciones de procesamiento de información Conformidad Cumplimiento de los requisitos legales y contractuales. Identificación de la legislación aplicable y requisitos contractuales Derechos de propiedad intelectual Protección de registros Privacidad y protección de la información de identificación personal Regulación de los controles criptográficos Revisiones de seguridad de la información. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. NO. NO. NO. NO. NO. NO. NO. NO. 99. Objetivos del control. Método de implementación. Estado.

(17) TICSOCIAL S.A.S. Controles según ISO/IEC 27001. ID. A.18.2.1. A.18.2.2. A.18.2.3. Revisión independiente de la seguridad de la información Cumplimiento de políticas y estándares de seguridad Revisión de cumplimiento técnico. Aplicab ilidad (SI/NO). Justificación de aplicabilidad del control. Objetivos del control. Método de implementación. Estado. NO. NO. NO. 4. Aceptación de riesgos residuales. Dado que no todos los riesgos podrían reducirse en el proceso de gestión de riesgos, todos los riesgos residuales se aceptan en este documento: 1. Todos los riesgos con el valor 0, 1 o 2. 2. Riesgos que no podrían reducirse a los niveles antes mencionados después de la aplicación del control, de acuerdo con la siguiente tabla: Nombre del activo. Propietario del activo. Amenaza. Vulnerabilidad. WWW. Líder área de desarrollo. Errores de mantenimiento/ actualización de programas. Falta de capacitación de trabajo. 2. 1. 3. R003. WWW. Líder área de desarrollo. Caída del sistema por agotamiento de recursos. Falta de planes de contingencia. 2. 1. 3. R005. Intercambio electrónico de datos. Líder área de desarrollo. Suplantación de la identidad del usuario. Control de acceso inadecuado. 2. 1. 3. Líder área de desarrollo. Suplantación de la identidad del usuario. Falta de conciencia de seguridad. 2. 1. 3. No.. R002. Archivos de R006 configuración. 100. Nuevo Nueva Riesgo Impacto Probabilidad Residual.

(18) TICSOCIAL S.A.S. Archivos de R007 configuración. Líder área de desarrollo. Acceso no autorizado. Administración deficiente de contraseña. 2. 1. 3. R010. Datos prueba. Líder área de desarrollo. Difusión de software dañino. Testeo inadecuado/ insuficiente. 2. 1. 3. Backups. Líder área de desarrollo. Errores de mantenimiento/ actualización de programas. Instalación/ desinstalación no controlada. 2. 1. 3. Código fuente. Líder área de desarrollo. Difusión de software dañino. Monitoreo insuficiente de medidas de seguridad. 2. 1. 3. R012. R014. 5. Validez y gestión documental. Este documento será revisado y podrá ser modificado por Diana Rodríguez, Robinson Salazar y Luis Fernando Morales a medida que el desarrollo del plan de implementación se vaya efectuando y si se cree conveniente para lograr la efectividad del documento.. Ingeniero de Sistemas - Líder de Desarrollo y Tecnología Robinson Salazar Grimaldos. __________________________________. 101.

(19) TICSOCIAL S.A.S. PLAN TRATAMIENTO DE RIESGO Para lograr los objetivos del SGSI, se deben realizar las siguientes actividades: Descripción de actividades R001. R002. R003. Descripción del control. Acción de tratamiento. Persona Responsable. A.13.2.1 Políticas y procedimientos de transferencia de información: Asegurar la transferencia de la información. A.14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas: Realizar las pruebas necesarias de los desarrollos para comprobar la funcionalidad. A.12.6.1 Gestión de las vulnerabilidades técnicas: Realizar monitoreos constantes a los recursos del sistema en los ambientes. Crear las políticas y procedimientos acordes a las necesidades de TICSOCIAL para la transferencia de la información Realizar dichas pruebas durante los desarrollos y que al momento de efectuar. Designar un empleado a cargo de la monitorización para mitigar o evitar las posibles fallas en el sistema. 102. Diana Rodríguez. Mantenimiento requerido / Comentarios Comenzar la implementación por áreas de la organización para poder evaluar la efectividad del control sobre este riesgo. Estado (no iniciado/en progreso/completado). No iniciado. Diana Rodríguez. No realizar los cambios en los ambientes productivos si las pruebas no salen exitosas. En progreso. Diana Rodríguez. Identificar las vulnerabilidades por las cuales se podría dar el agotamiento de los recursos. No iniciado.

(20) TICSOCIAL S.A.S. R004. R005. R006. R007. R008. A.13.2.1 Políticas y procedimientos de transferencia de información: Dar claridad sobre la manera correcta de realizar la transferencia de la información. A.13.2.3 Mensajería electrónica: Evitar el acceso no autorizado a los servicios de transferencia de información. A.14.2.1 Política de desarrollo seguro de software: Garantizar la seguridad en los entornos de desarrollo. A.9.1.1 Política de control de acceso: Establecer las políticas de control de acceso de naturaleza digital A.7.2.2 Concientización sobre la seguridad de la información, educación y capacitación: Educación y capacitación adecuada para los empelados. Crear las políticas y procedimientos para la transferencia de la información tanto al interior de la organización como hacia partes externas, definiendo la sensibilidad que pueda tener la información Incluir una política para garantizar en envió de información que tenga en cuenta los controles de acceso para este caso específico a mensajería electrónica Crear y capacitar a los desarrolladores sobre las practicas seguras de codificación y desarrollo, enfocadas en la seguridad en las etapas del ciclo vital del desarrollo Definir las políticas necesarias para garantizar que el acceso a los archivos de configuración sea de los empleados autorizados a su uso, restricción de usuarios Los empleados (administradores) deberán recibir capacitaciones y /o actualizaciones de las políticas, normas y procedimientos sobre la seguridad de la información de acuerdo a las funciones que desempeñe cada uno. 103. Diana Rodríguez. No iniciado. Diana Rodríguez. Esta política se deberá aplicar a todas las áreas de la organización. No iniciado. Diana Rodríguez. Enfocar dichas políticas y practicas a lenguajes de desarrollo, repositorios, control de versiones, etc.. No iniciado. Diana Rodríguez. Tener definición clara de los usuarios que tiene privilegio de acceso a dichos archivos. No iniciado. Diana Rodríguez. Realizar revisiones periódicas de las políticas para que los niveles de seguridad se vayan actualizando. No iniciado.

(21) TICSOCIAL S.A.S. R009. R010. R011. R012. R013. R014. A.9.1.1 Política de control de acceso: Definición de las políticas de acceso. A.14.2.6 Seguridad en entornos de desarrollo: Protección adecuada de todos los entornos de desarrollo. A.12.3.1 Copia de seguridad de la información: Asegurar respaldo de la información. A.12.6.2 Restricciones en la instalación del software: Control sobre mantenimientos de programas A.11.2.4 Mantenimiento de equipos: Garantizar disponibilidad e integridad de los equipos A.9.4.5 Control de acceso al código fuente de los programas: Acceso a los empleados autorizados. Definición de las políticas de control de acceso para todos los niveles de la organización enfocadas a las responsabilidades de cada empleado Manipular de manera adecuada los datos de prueba para evitar y/o mitigar el desarrollo(código) malicioso, el cuál pueda afectar las demás partes del entorno de desarrollo Establecer las políticas y periodos para realizar las copias de seguridad de tal manera que se salvaguarde información que garantice la disponibilidad máxima de la misma Definición de reglas para la instalación y actualización de software necesario para manejar un control y evitar posibles programas de malware Establecer mantenimiento (actualización) rutinario y preventivo de los equipos de acuerdo a su naturaleza, entorno y propósito Proteger el código fuente de vulnerabilidades. 104. Diana Rodríguez. Diana Rodríguez. No iniciado. Determinar los requisitos, regulaciones y/o políticas para la protección de los entornos de desarrollo. Diana Rodríguez. Diana Rodríguez. En progreso. Es necesario controlar la instalación/actualización para evitar las posibles amenazas y vulnerabilidades que podría traer el software. Diana Rodríguez. Diana Rodríguez. No iniciado. No iniciado. No iniciado. Definir los accesos correspondientes a los repositorios donde se aloja el código fuente, y controlar dichos. En progreso.

(22) TICSOCIAL S.A.S. accesos R015. R016. R017. R018. R019. R020. A.9.4.5 Control de acceso al código fuente de los programas: Mantenimiento de los programas. A.7.2.1 Responsabilidades de gestión: Tener claridad sobre las funciones y responsabilidades de acuerdo al cargo del empleado. A.9.2.3 Gestión de derechos de acceso privilegiados: Claridad sobre los accesos A.7.3.1 Terminación o cambio de responsabilidades laborales: Delegación de accesos y responsabilidades. A.9.4.1 Restricción de acceso a la información: Establecer los derechos de acceso. A.11.2.4 Mantenimiento de. Establecer periodos de mantenimiento de los programas, de tal manera que se pueda realizar una programación para que no se vea afectado el software Describir de manera clara a cada empleado sus funciones y responsabilidades, concientizar sobre la seguridad de la información que maneja y las repercusiones en el incumplimiento de sus responsabilidades Instituir la administración de los niveles de accesos y control de los mismos sobre los activos y la información Definición de políticas para la terminación o cambio de responsabilidades laborales, ¿quién queda a cargo?, ¿Qué se hará con las tareas pendientes?, etc. Definir las reglas mediante las cuales se definirá el acceso a la información ya sea para empleados o usuarios, mediante roles, niveles de acceso, etc. Realizar revisiones continuas a los. 105. Diana Rodríguez. En progreso. Diana Rodríguez. Establecer los controles que cada empelado debe seguir para cumplir a cabalidad con sus tareas diarias y/o proyectos asignados. En progreso. Diana Rodríguez. Definir las reglas de los accesos privilegiados y los usuarios (empleados) que podrían acceder a dichos privilegios. No iniciado. Diana Rodríguez. Delegar tareas que se crean importantes a empelados con la capacidad de asumirlas mientras llega un nuevo empleado. No iniciado. Diana Rodríguez. No iniciado. Diana Rodríguez. No iniciado.

(23) TICSOCIAL S.A.S. equipos: Garantizar la. disponibilidad e integridad de los equipos R021. A.9.4.3 Sistema de gestión de contraseñas: Concientizar para. que las contraseñas sean seguras R022. R023. R024. R025. A.6.1.1 Funciones y responsabilidades de seguridad de la información: Tener claridad sobre las funciones y responsabilidades A.12.3.1 Copia de seguridad de la información: Tener respaldo de acuerdo a las necesidades. A.12.2.1 Controles contra malware. A.8.3.3 Transferencia de medios físicos: Protección de los medios físicos usados en la transferencia de información. equipos para evitar posibles daños y averías y que a su vez esto interfiera en las labores de la organización Garantizar que las contraseñas cumplan con los niveles necesarios, buscar mecanismos para la correcta implementación de contraseñas Definir y asignar a cada empleado las responsabilidades que conlleva su cargo y como ejercer la seguridad de las mismas de tal manera que la información que maneje tenga la seguridad adecuada Diseñar y definir como serán los respaldos, periodicidad, disponibilidad, etc. de tal manera que se tenga copias de seguridad lo más recientes Establecer los controles para la detección, prevención y recuperación en caso de que la informática personal este protegido de software dañino Realizar la protección adecuada a los medos físicos para que tenga una defensa en caso de acceso no autorizado, uso indebido o transporte inadecuado que. 106. Diana Rodríguez. Capacitar a los empleados que necesiten accesos privilegiados sobre los mecanismos que se usaran. Diana Rodríguez. Diana Rodríguez. No iniciado. Tener en cuenta las reglas establecidas con anterioridad en cuanto a la periodicidad de las copias de seguridad. Diana Rodríguez. Diana Rodríguez. No iniciado. En progreso. No iniciado. De ser posible se establece no llevar estos medios físicos fuera de las instalaciones de la organización. No iniciado.

(24) TICSOCIAL S.A.S. R026. R027. R028. R029. R030. R031. A.6.1.1 Funciones y responsabilidades de seguridad de la información: Tener claridad sobre las funciones y responsabilidades A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones:. A.11.2.4 Mantenimiento de equipos: Establecer periodos de mantenimiento. A.13.1.2 Seguridad de los servicios de red: Establecer la seguridad en los equipos de red A.13.1.2 Seguridad de los servicios de red: Establecer la seguridad en los equipos de red A.13.1.1 Controles de red: Proteger la red local para evitar incidentes. pueda afectar la información que allí está depositada Definir quienes puede tener acceso a los dispositivos móviles y las funciones a desempeña con dichos dispositivos Aplicar controles a los dispositivos en caso de que estos se encuentren fuera de la organización y los peligros que implica, de igual forma va vinculados definidos dentro de la organización Realizar mantenimientos de manera regular para que los equipos estén disponibles y en buen estado para garantizar la disponibilidad Tomar todas las medidas de seguridad que los servicios de la red funciones de la manera adecuada Establecer los accesos a la red de acuerdo a las funciones de cada empleado si así se requiere Verificar y de ser necesario rediseñar la red local, de tal manera que se pueda proteger en mayor proporción la información manejada dentro de. 107. Diana Rodríguez. En el momento Ticsocial solo cuenta con un dispositivo móvil institucional que es no tiene un uso periódico. No iniciado. Diana Rodríguez. El dispositivo móvil no sale de las instalaciones de la organización. No iniciado. Diana Rodríguez. No iniciado. Diana Rodríguez. Realizar mantenimientos de tal manera que no se afecte la red.. No iniciado. Diana Rodríguez. Accesos de acuerdo a los privilegios. No iniciado. Diana Rodríguez. Verificar que operaciones son indispensables y segregar la red de manera que no afecta las labores normales de la organización. No iniciado.

(25) TICSOCIAL S.A.S. R032. R033. R034. R035. R036. R037. A.7.3.1 Terminación o cambio de responsabilidades laborales: Continuidad de la seguridad al cambio o falta de un empleado A.9.2.5 Revisión de los derechos de acceso del usuario: Control de los accesos a la BD A.9.4.1 Restricción de acceso a la información: Definición de los accesos de acuerdo a las funciones. A.7.2.2 Concientización sobre la seguridad de la información, educación y capacitación: Concientizar a los empleados sobre sus labores y la seguridad de las mismas A.7.2.2 Concientización sobre la seguridad de la información, educación y capacitación: Uso de programas con acceso a la información A.7.2.1 Responsabilidades de gestión: Definición de responsabilidades. la red local Asegurar que la seguridad continúe al efectuarse algún cambio en el personal de la organización Definir y aclarar los derechos de acceso a los usuarios que posean un rol determinado Realizar lista de consideraciones de las políticas de acceso a la información para aclarar las funciones de cada empelado sobre los accesos privilegiados que posea Educar y capacitar a los empleados para que implementen las políticas y controles de la seguridad, conocimiento de las legislaciones y concientización del ciclo de vida del empleo Capacitar en el uso de los navegadores web y la protección a la seguridad que se debe implementar para evitar accesos no deseas o filtración de información pro transferencia Concientizar a toda la organización en especial al área de desarrollo sobre la seguridad. 108. Diana Rodríguez. Diana Rodríguez. Estas especificaciones deben ir en una sección de términos y condiciones en los contratos de los empelados Realizar constantes revisiones de los derechos de accesos de acuerdo a la naturaleza de cada derecho. En progreso. No iniciado. Diana Rodríguez. No iniciado. Diana Rodríguez. No iniciado. Diana Rodríguez. No iniciado. Diana Rodríguez. Exponer todos los controles que sean relevantes para el área de desarrollo y a medida que los. No iniciado.

(26) TICSOCIAL S.A.S. de la información. R038. R039. A.9.2.2 Aprovisionamiento de acceso de usuario: Claridad sobre los accesos. Definir los límites de los accesos a lo que cada empelado tiene derecho según sus funciones y los límites de estos. A.15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores: Relación con los proveedores y el SGSI. Trabajar en una relación de seguridad entre los proveedores y la organización para que exista relación entre los controles de ambas partes y tener la evidencia necesaria. Ingeniero de Sistemas - Líder de Desarrollo y Tecnología Robinson Salazar Grimaldos. __________________________________. 109. Diana Rodríguez. Diana Rodríguez. riesgos y los controles tengan modificaciones capacitar para que sea de conocimiento dentro de la organización Crear una jerarquía de accesos para determinar de acuerdo al cargo una asignación correspondiente a las funciones de cada empelado Realizar actualizaciones continuas de los controles y posibles nuevos riesgos a tratar para que de ser puedan tomar las medidas preventivas que los nuevos riesgos necesites. No iniciado. No iniciado.

(27)

Referencias

Descargar ahora ( PDF - 26 página - 229.83 KB )

Documento similar

Indicadores municipales de sostenibilidad: Tasa de afiliación a la S.S. Sector Construccion (% sobre total personas afiliadas)

Indicadores municipales de sostenibilidad: Tasa de afiliación a

Relación de bienes y actividades de los miembros de la corporación: 2015-2019

Luis Miguel Utrera Navarrete ha presentado la relación de Bienes y Actividades siguientes para la legislatura de 2015-2019, según constan inscritos en el

Estaciones de la Red pública de control y vigilancia de la contaminación atmosférica de Castilla-La Mancha

Fuente de emisión secundaria que afecta a la estación: Combustión en sector residencial y comercial Distancia a la primera vía de tráfico: 3 metros (15 m de ancho)..

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

Dona Leonor de Guzmán a la muerte de Alfonso XI

dente: algunas decían que doña Leonor, "con muy grand rescelo e miedo que avía del rey don Pedro que nueva- mente regnaba, e de la reyna doña María, su madre del dicho rey,

Action plan for the prevention and control of noncommunicable diseases in the WHO European Region

diabetes, chronic respiratory disease and cancer) targeted in the Global Action Plan on NCDs as well as other noncommunicable conditions of particular concern in the European

EL ARCHIVO DE LOYOLA EN TIEMPOS DE LA EXPULSIÓN Y LAS APORTACIONES DE LOS JESUÍTAS LLEGADOS DE ITALIA (SEGÚN RESEÑA DEL P. PÉREZ PICÓN)

Ciaurriz quien, durante su primer arlo de estancia en Loyola 40 , catalogó sus fondos siguiendo la división previa a la que nos hemos referido; y si esta labor fue de

LA CAPILLA DE MÚSICA DE LA COLEGIAL DE SAN NICOLÁS DE ALICANTE DURANTE EL SIGLO XVIII

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y